2021-10-15spring boot 关于使用Filter 拦截签名校验和添加签名踩过的坑

已于 2024-05-14 10:17:18 修改
阅读量595 收藏
点赞数
分类专栏: 实战问题 文章标签: spring boot
于 2021-10-15 11:50:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010488926/article/details/120778246
版权

问题产生原因:
ServletRequest, ServletResponse 采用的是输入流的方式,所以只能读取一次。在使用filter拦截取值之后,后续不能再次调用
问题解决方法:使用自定义bean将数据保存到bean中,实现可以重复调用
自定义标签代码:

/**
 * @description: 判断是否需要校验token和sig
 * @author: hyx
 * @create: 2021-08-23 14:50
 **/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginTokenAndSig {

    /**
     * 是否校验token合法性 默认 是
     *
     * @return
     */
    boolean tokenValidate() default true;

    /**
     * 是否校验签名合法性 默认 是
     *
     * @return
     */
    boolean signValidate() default true;
}

Filter拦截代码
注:自定义 response需要在chain.doFilter执行之后才能获取到返回值。

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.sy.debug.base.Response;
import com.sy.debug.base.untils.SeqUtil;
import com.sy.debug.http.aes.HMacMD5;
import com.sy.debug.http.auth.RequestBodyContent;
import com.sy.debug.http.auth.wrapper.MyRequestWrapper;
import com.sy.debug.http.auth.wrapper.MyResponseWrapper;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class HttpServletRequestReplacedFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        MyRequestWrapper requestWrapper = null;
        MyResponseWrapper responseWrapper = null;
        if (request instanceof HttpServletRequest) {
            requestWrapper = new MyRequestWrapper((HttpServletRequest) request);
        }
        if (response instanceof HttpServletResponse) {
            responseWrapper = new MyResponseWrapper((HttpServletResponse) response);
        }
        //获取请求中的流如何,将取出来的字符串,再次转换成流,然后把它放入到新request对象中。
        // 在chain.doFiler方法中传递新的request对象
        if (requestWrapper == null) {
            if (responseWrapper == null) {
                chain.doFilter(request, response);
            } else {
                chain.doFilter(request, responseWrapper);
            }
        } else {
            if (responseWrapper == null) {
                chain.doFilter(requestWrapper, response);
            } else {
                chain.doFilter(requestWrapper, responseWrapper);
            }
        }
        String action = null;
        String json = responseWrapper.getString();

        if (json != null && json.length() > 0) {
            try {
                JSONObject jsonObject = JSON.parseObject(json);
                action = jsonObject.getString("data");
            } catch (Exception e) {
                action = json;
            }
        }
        HttpServletResponse servletResponse = (HttpServletResponse) response;

        HttpServletRequest servletRequest = (HttpServletRequest) request;

        Response myResponse = new Response();

        try {
            JSONObject jsonObject = JSON.parseObject(action);
            myResponse.setData(jsonObject);
        }catch (Exception e){
            myResponse.setData(action);
        }

        String operatorID = servletRequest.getHeader("OperatorID");

        Long timeStamp = System.currentTimeMillis();
        String seq = SeqUtil.getUniqueInstance().getSeq(timeStamp);
      //自行添加返回值参数
        myResponse.setOperatorID(operatorID);
        myResponse.setTimeStamp(timeStamp);
        myResponse.setSeq(seq);
        myResponse.setSig(sig);
        servletResponse.getOutputStream().write(JSON.toJSONString(myResponse).getBytes());
        servletResponse.getOutputStream().flush();
    }

    @Override
    public void destroy() {

    }
}

校验代码

@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        // 从 http 请求头中取出 token
        String token = httpServletRequest.getHeader("Authorization");
        MyRequestWrapper requestWrapper = new MyRequestWrapper((HttpServletRequest) httpServletRequest);


        if (object instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) object;
            Method method = handlerMethod.getMethod();

            //检查有没有需要用户权限的注解
            if (method.isAnnotationPresent(UserLoginTokenAndSig.class)) {
                JSONObject jsonObject = JSON.parseObject(requestWrapper.getBody());
                String operatorID = jsonObject.getString("operatorID");
                UserLoginTokenAndSig userLoginToken = method.getAnnotation(UserLoginTokenAndSig.class);
                if (userLoginToken.tokenValidate()) {
                    // 执行认证
                    if (token == null) {
                        log.info("无效token:{}", token);
                        httpServletResponse.getOutputStream().write("无效token,请重新登录".getBytes());
                        httpServletResponse.getOutputStream().flush();
                        return false;
                    }
                    //获取用户,用于校验用户账号是否存在
                     // OperatorSecret operatorSecret =
                    //  if (operatorSecret == null) {
                      //    log.info("用户不存在:operatorID:{}", operatorID);
                      //    httpServletResponse.getOutputStream().write("用户不存在".getBytes());
                     //     httpServletResponse.getOutputStream().flush();
                      //    return false;
                   //   }
                    // 验证 token
                    //
                    Boolean isVerify = JWTUtil.verifyToken(token, operatorSecret.getOperatorSecret());

                    if (!isVerify) {
                        log.info("token已失效:token:{}", token);
                        httpServletResponse.getOutputStream().write("token已失效".getBytes());
                        httpServletResponse.getOutputStream().flush();
                        return false;
                    }
                }
                //签名验证
                if (userLoginToken.signValidate()) {
                    String sig = jsonObject.getString("sig");
                    String timeStamp = jsonObject.getString("timeStamp");
                    String seq = jsonObject.getString("seq");

                    //自定义生产签名方法
                  // valueSig = ***;
                  //自定义生产签名方法
                    if (!(valueSig != null && valueSig.equals(sig))) {
                        log.info("签名校验错误sig:{},valueSig:{}", sig, valueSig);
                        httpServletResponse.getOutputStream().write("签名校验错误".getBytes());
                        httpServletResponse.getOutputStream().flush();
                        return false;
                    } else {
                        log.info("签名校验成功sig:{},valueSig:{}", sig, valueSig);
                    }
                }
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request,
                           HttpServletResponse response,
                           Object o, ModelAndView modelAndView) throws IOException {
    }
}

自定义request

public class MyRequestWrapper extends HttpServletRequestWrapper {

    private final String body;

    public MyRequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

}

自定义response

public class MyResponseWrapper extends HttpServletResponseWrapper {
    private ByteArrayOutputStream bytes = new ByteArrayOutputStream();
    private PrintWriter pwrite;
    public MyResponseWrapper(HttpServletResponse response) {
        super(response);
    }
    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        return new MyServletOutputStream();
    }
    @Override
    public PrintWriter getWriter() throws IOException {
        return new PrintWriter(bytes);
    }

    public String getString(){

        return new String(getBytes());
    }
    /**
     *
     * 获取响应数据
     * @param
     * @return byte[]
     * @throws
     * @author pf
     * @datetime 2016年4月28日 下午4:23:33
     */
    public byte[] getBytes() {
        if(null != pwrite) {
            pwrite.close();
            return bytes.toByteArray();
        }
        if(null != bytes) {
            try {
                bytes.flush();
            } catch(IOException e) {
                e.printStackTrace();
            }
        }
        return bytes.toByteArray();
    }

    private class MyServletOutputStream extends ServletOutputStream {
        @Override
        public void write(int b) throws IOException {
            bytes.write(b); // 将数据写到 stream 中
        }
        @Override
        public boolean isReady() {
            return false;
        }
        @Override
        public void setWriteListener(WriteListener writeListener) {
        }
    }
}
天蓝色的蝎子01
关注
专栏目录
Spring Boot入门(25):三位程序员谁能守护项目入口?- 过滤器拦截器、监听器的对比及使用场景
**My Coding Family**
08-25 2054
Spring Boot 如何使用过滤器拦截器、监听器对比及使用场景,一文带你吃透它。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringMVC使用filter过滤器对数据解密并验证数据签名
zzf_start的博客
10-27 7415
公司里最近在做APP开发,使用ssm作为后台框架。采用Token机制判断用户是否已登录,Springmvc本身带有拦截器,可以使用拦截拦截token判断token是否还在有效期内。 import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org
spring boot 拦截器接口校验RSA签名
taopenglove的博客
04-14 910
一,编写拦截器文件 package com.tax.config.auth; import com.alibaba.fastjson.JSON; import com.tax.util.sign.SignUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import org.springframework.util.Stream
Spring Boot添加签名拦截
Ice_Dream123的博客
11-30 245
4、注册拦截器,声明要拦截的url。
5、利用spring过滤器来完成请求body解密、验证签名,返回body的加密
Lune_solitair
11-01 963
记录每一个努力的日子! 上一篇:制作一个html转pdf的spring boot starter 参考项目:github 1.3.0分支 order模块 1、原理 spring 处理请求的流程是 …->filter->…->controller,所以在未到达controller之前替换掉请求参数即可 2、添加Filter 自定义一个Filter类实现Filter接口,重写doFilter方法,添加一个FilterRegistrationBean到容器中即可 @Bean public Fil
SpringBoot使用Filter实现签名认证鉴权
java_shm的专栏
11-07 2015
情景说明 鉴权,有很多方案,如:SpringSecurity、Shiro、拦截器、过滤器等等。如果只是对一些URL进行认证鉴权的话,我们完 全没必要引入SpringSecurity或Shiro等框架,使用拦截器或过滤器就足以实现需求。 本文介绍如何使用过滤器Filter实现URL签名认证鉴权。 本人测试软硬件环境:Windows10、idea、SpringBoot...
Spring Boot 3】自定义拦截
最新发布
又言又语
08-28 1200
本文介绍开发 Spring Boot 应用如何自定义拦截器(Interceptor)实现。Spring Boot 拦截器(Interceptor)基于 Java 反射机制实现,可以实现对 Controller 中方法进行拦截,并在方法执行前后进行响应的处理,是基于切面编程(AOP)的一种模式。权限校验日志记录性能监控拦截器(Interceptor)通常拿来与过滤器Filter)进行比较,虽然它们在应用上存在诸多重叠,但实现原理完全不同。
spring boot实现过滤器拦截器demo
08-31
Spring Boot应用中,过滤器Filter)和拦截器(Interceptor)是两种常见的处理HTTP请求的机制,它们各自有特定的用途和应用场景。过滤器在Servlet容器层面工作,而拦截器则是Spring MVC框架的一部分,作用在控制...
Spring Boot项目中定制拦截器的方法详解
08-25
Spring Boot项目中定制拦截器是一项对于Web开发而言非常重要的技术,通过定制拦截器可以对请求进行预处理和后处理,实现权限校验、日志记录、性能监控、内容转换等多种功能。接下来,我们将详细介绍Spring Boot中...
springboot自定义拦截filter
07-10
项目集成了sso资源拦截的控制,自己写了一个springBoot自定义的filter。可以减少一些不必要的资源拦截。自己做的一个小demo,共享于大家。
验证签名拦截器还是过滤器_使用过滤器功能进行输入验证
culi3182的博客
08-11 1408
验证签名拦截器还是过滤器I’d like to start off this article by thanking you for making it even this far. I’m fully aware that “Input Validation Using Filter Functions” isn’t exactly the sexiest article title in t...
SpringMVC 4.请求处理方法签名
GardenerHan的博客
04-18 2106
请求处理方法签名 Spring MVC 通过分析处理方法的签名,将 HTTP 请求信息绑定到处理方法的相应入参中。 Spring MVC 对控制器处理方法签名的限制是很宽松的,几乎可以按喜欢的任何方式对方法进行签名。 必要时可以对方法及方法入参标注相应的注解(@PathVariable@RequestParam@RequestHeader 等)、SpringMVC 框架会将 HTTP 请求的信息绑定
spring cloud gateway中进行加签验签
u012663412的博客
08-31 1862
项目要使用spring cloud gateway进行验签,由于国内用webflux 相对还是较少,作以记录。注意,filters的AuthSign对应的filter中的name方法。
spring boot——请求与参数校验——Filter——Filter快速入门
小白龙白龙马的博客
01-12 154
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 9169
java sign签名认证
使用filter进行登录的拦截,统一验证用户登录信息是否有效
zzqtty的博客
11-08 2498
1需求 在用户进行所有的操作之前都要验证当前用户是否登录有效,如果每个方法调用前都去验证显得比较蠢,于是使用filter在接口之前统一拦截验证; 2.方案的选择 简单的来说就是实现用户的登录。刚开始我是采用session和cookie进行用户登录的,可是涉及到跨域的问题。其实我在网上查了下,前端可以实现跨域的请求带上cookie。可是人家前端不改!!!!!!!!微笑。非得要用在请求中带入to...
java 拦截签名验签
weixin_36921491的博客
07-16 98
Java 拦截签名验签入门指南 作为一名刚入行的开发者,你可能会遇到需要实现签名验签功能的情况。签名验签是一种安全机制,用于验证请求的合法性,防止请求被篡改。在Java中,我们可以通过拦截器来实现这一功能。本文将为你详细介绍如何使用Java拦截器进行签名验签。 签名验签流程 首先,我们来看一下签名验签的基本流程。以下是一...
校验时间戳和签名
慕容的博客
08-06 9803
1.获取url链接里面的时间戳和签名  // 时间戳             String timestamp = qpMap.get("timestamp");             // 签名             String sign = qpMap.get("sign"); 2.进行校验         // 校验签名前后过期时间     ...
Spring Boot 中的过滤器拦截器与切片实现请求耗时统计
"本文档详细介绍了在Spring Boot中如何实现过滤器拦截器与切片,并探讨了它们在统计每个请求耗时中的应用以及它们之间的区别和联系。文档首先介绍了过滤器Filter的概念,强调它是Servlet的一种增强,主要用于请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值